IT Forum 2005 - L'avenir des cartes à puce et des PKI sous Windows Vista / Longhorn Accueil > Articles > Evènements
Auteurs  Matthieu MARTINEAU PI SERVICES (GOLD PARTNER MICROSOFT) Ingénieur systèmes et réseaux  Tous les articles de cet auteur		4,5/5 Très Bien 22651 7/32

1. Introduction

David B. Cross, consultant système et spécialiste des infrastructure à clef publiques a présenté ce mercredi une session intitulée "The Rebirth of the Smart Card". Venu directement de Redmond, cet excellent speaker avait d'ailleurs déjà animé lundi dernier une pré-conférence de 6 heures sur le même sujet ! Cet article s'inspire de ses présentations.

Dans un premier temps nous aborderons la politique de Microsoft en terme de sécurité et d'infrastructure PKI, puis dans un second temps nous étudierons les nouvelles fonctions qui seront intégrées à la prochaine version majeure du système à savoir Windows Vista / Longhorn Server !

2. gestion et déploiement des certificats

2.1 La politique de Microsoft sur les PKI

Pour le géant du logiciel, l'infrastructure à clef publique est une technologie fondamentale ! En effet, elle est de nos jours indispensable pour assurer la sécurité... des communication réseau (IPSec, SSL...) des réseaux sans fils (protocoles PEAP, EAP-TLS...) de l'authentifications des utilisateurs (cartes à puce, EAP-TLS...) des informations (signatures numériques, EFS, emails...) de l'accès VPN (L2TP/Ipsec, mode tunnel IPSec...) etc.

Malgré cela, les services de certificats sont encore peu utilisés, d'une part à cause de la complexité de mise en œuvre et d'autre part à cause du manque de documentation et d'information à ce sujet. Microsoft a donc décidé de mettre tous les moyens possible en œuvre pour promouvoir cette technologie ! Sa stratégie est simple :

• simplification de la configuration des services de certificats

• intégration réelle de l'authentification par cartes à puce dans le système

• création de composants .net spécifique pour faciliter la gestion des certificats

Ces améliorations qui feront partie intégrante de Windows Vista (cf. section suivante) ont pour but de simplifier la vie des administrateurs, des développeurs  mais aussi des utilisateurs finaux !

2.2 Les nouveauté intégrées à Windows Vista

Côté client, l'interface permettant de gérer les certificats sera entièrement revue ! On passera d'une console MMC (sous Windows XP/2003) à un composant entièrement nouveau. Aucune autre modification d'importance en ce qui concerne les certificats en eux-même n'est envisagée (sauf dans le domaine des cartes à puce mais ce sujet est abordé dans la section 3.2).

Côté serveur l'ambition de Microsoft est clairement de rendre accessible à tous l'implémentation et la gestion des services de certificats. Ainsi un système d'activation "en un clic" est à l'étude pour faciliter la création d'une autorité de certification. Bien qu'une amélioration sensible ait déjà été introduite dans Windows Server 2003 avec les listes de révocations de certificats DELTA, la distributions des CRLs sera revue dans Longhorn Server (intégration du service OCSP). Une plus grande granularité sera aussi de mise au niveau de la délégation des droits. Ainsi il sera possible de spécifier qu'un utilisateur X a le droit d'attribuer (enroll) des certificats utilisateurs mais uniquement aux membres du groupe G Allemagne par exemple.

D'autres outils de gestion permettront d'avoir une meilleure vue d'ensemble et un meilleur contrôle de l'infrastructure à PKI. On peut notamment citer :

• le package de gestion MOM 2005 - en effet avec Longhorn Server chaque service réseau (DHCP, DNS, service de certificat...) disposera de son propre package d'administration dans Microsoft Operation Manager - le package MOM des services de certificat permettra, entre autre, de connaître l'état des autorité de certification (en ligne / hors ligne / prêt à délivrer...), le nombre de certificats délivrés...

• le logiciel Alacris idNexus - une interface Web permettant d'administrer les certificats et les cartes à puce (avec des options très poussées)

2.3 L'externalisation de l'infrastructure à clef publique, un enjeu pour l'avenir ?

Selon Microsoft de nombreuses société hésitent à mettre en place une infrastructure PKI à cause de la complexité de mise en œuvre (notamment au niveau des systèmes de sauvegarde des clés privées et des certificats). c'est pourquoi le géant de Redmond souhaite lancer un service de carte à puce nommé Microsoft eID. N'importe quelle entreprise pourrait souscrire à ce service et acheter des cartes à puce (Microsoft se chargerait de l'attribution et de la gestion des certificats associés). L'entreprise pourrait sans problème acquérir des cartes à puce supplémentaire en fonction de la demande sans se préoccuper du type et de la marque des cartes car le service eID sera compatible avec toutes les technologies du marché !!!

Pour l'instant très peu d'informations ont filtré sur ce produit (notamment en ce qui concerne les coûts et le licensing) mais nul doute qu'il intéressera un grand nombre de société désirant obtenir une sécurité accrue  sans augmentation des coût ni gestion administrative contraignante !

3. Gestion et déploiement des cartes à puces

3.1 Les cartes à puce, pourquoi faire ?

De manière générale, en informatique, l'authentification consiste à saisir un identifiant (login) ainsi que le mot de passe (password) qui lui est associé. On parle d'authentification mono-factorielle car basée sur un seul facteur : des informations connues de l'utilisateur. Voici d'autres facteurs pouvant être utilisés pour authentifier un individu :

• un objet appartenant à l'utilisateur (badge, cartes magnétiques, cartes d'identité...)

• l'utilisateur lui-même (empreinte digitale, empreinte rétinienne...)

Il est possible d'augmenter fortement la sécurité de l'authentification en combinant plusieurs facteurs : on parle d'authentification multifactorielle. Les cartes à puce sont un exemple d'authentification multifactorielle car pour s'authentifier il faut : posséder la carte et connaître le code pin associé ! Si un malfrat vole la carte, il ne peut pas s'authentifier car il ne connaît pas la pin et inversement.

Bien entendu il est possible d'implémenter des systèmes d'authentification à trois facteurs (avec la biométrie) mais le coût de ces systèmes est actuellement très élevé et la mise en place encore hasardeuse ! Le déploiement de cartes à puce (ou smart cards) permet quant à lui de renforcer la sécurité de l'authentification avec un investissement modéré. Le seul inconvénient reste la gestion de l'infrastructure à clé publique (en effet, les cartes à puce utilisent les certificats numériques et nécessitent donc la configuration d'une ou plusieurs autorités de certification).

3.2 Windows Vista : la renaissance des cartes à puce ?

Suite aux retours d'expériences de ses principaux clients, Microsoft a décidé d'opérer de nombreuses modifications en ce qui concerne la gestion des cartes à puce et des certificats numériques au sein de Windows Vista.

Pour commencer il sera possible d'associer une carte à puce avec un compte d'utilisateur sans que le nom du compte utilisateur dans Active Directory soit identique à celui du certificat d'authentification de la carte à puce. De plus une seule et même carte à puce pourra posséder plusieurs certificats d'ouverture de session et donc être mappé à plusieurs comptes d'utilisateurs simultanément (actuellement un administrateur qui travaille avec un simple compte utilisateur et qui a besoin de se "logguer" de façon ponctuelle en tant qu'administrateur doit posséder deux cartes à puce !!!).

Le principe de l'ouverture de session unique ou SSO (Sigle Sign On) sera désormais aussi appliqué pour l'authentification par cartes à puce. En effet, lorsque l'on se connecte à un serveur TSE avec une carte à puce, il faut taper le code pin une première fois pour ouvrir la session locale sous Windows XP, puis une seconde fois pour ouvrir la session RDP ! De plus la modification du code pin sera totalement intégrée à l'interface utilisateur (comme c'est le cas avec la modification du mot de passe et les stratégies de mots de passe sous Windows XP).

Côté serveur, un ensemble de mécanisme sera disponible pour automatiser et faciliter les tâches courantes en rapport avec les cartes à puce comme renouveler un certificat, débloquer une carte (en cas d'un grand nombre d'erreurs lors de la saisie du code pin)... Enfin il sera aussi possible d'intégrer des certificats d'autorité de certification sur les cartes à puce. Cette fonctionnalité se révèlera très utiles pour que les machines sur lesquelles l'administrateur n'a pas la main (ordinateurs des employés notamment) fasse confiance à la ou les autorités de certification de l'entreprise.

4. Conclusion

Microsoft souhaite vraiment démocratiser l'utilisation des cartes à puce et de l'infrastructure à clé publiques. Etant donné les moyens mis en œuvre, gageons que ce pari sera réussi ! Cependant seule la sortie de Windows Vista édition cliente ET édition serveur permettront de mettre en place toutes les nouvelles technologies annoncée ici...

En attendant rappelons la mise en place d'une authentification par cartes à puce n'assure pas à elle seule la sécurité des données de l'entreprise mais n'est qu'une mesure parmi d'autres permettant d'augmenter la protection de ces mêmes données !

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft